Windows Server: zweite NIC nur aus diesem Subnetz erreichbar

[martingo]

Hi,

ich knobele seit Tagen an einem Problem und komme einfach nicht weiter. Ich habe einen Windows Server Core unter Hyper-V. Dieser WS hat zwei virtuelle NICs:
NIC1 VLAN 23: 10.1.23.33/24 (Default Gateway 10.1.23.1)
NIC2 VLAN 29: 10.1.29.11/24

Ich versuche bspw. von einer Win10 VM (10.1.31.11/24) auf die zweite NIC zuzugreifen. Z.B. per Ping. Aber auch TCP klappt nicht.
Ich bringe es einfach nicht hin. Firewall wurde sowohl per GPO also auch lokal mittels set-netfirewallprofile ganz abgeschaltet, icmp für alle Netze erlaubt usw.
Ich sehe mit tcpdump/windump das Paket auf dem Server ankommen aber er antwortet nicht. ARP Requests diesbezüglich habe ich nicht festgestellt.
Aus dem gleichen Subnetz (z.b. 10.1.29.1 Router) lässt er sich pingen.

Das Netzwerkprofil für NIC2 steht auf Public (get-networkprofile), auch manuelle Anpassung auf Private bleibt ergebnislos. NIC1 steht auf DomainAuthenticated.
Firewall war wie gesagt komplett deaktiviert am Server. Auch der Router dazwischen erlaubt die Verbindung (bzw. temporär auch mit deaktiviert er Firewall) und ich sehe die Pakete ja wie gesagt ankommen.

Hat jemand eine Idee, woran das liegen könnte? Mit Linux hatte ich nie Probleme mit mehreren NICs und unterschiedlichen Subnetzen :-(

Viele Grüße
Martin

 

[underclocker2k4]

Aufmalen, mit NIC und IP Angaben und allen restlichen Netzkomponenten.

 

[konfetti]

ist denn für die 2te NIC auch das Gateway hinterlegt? - bzw. sind die Routen entsprechend eingetragen?

 

[martingo]

Aufmalen geht heute leider nicht mehr, liege schon in der Koje
Ist aber echt simpel darstellbar. Schaue mal, dass ich das morgen hinbekomme.

Konfetti: nein, nur bei NIC1 ist ein Standardgateway hinterlegt. NIC2 hat nur die automatische Route für 10.1.29.0/24
Aus meinem Verständnis heraus sollten Anfragen, die auf NIC2 hereinkommen, trotzdem auch über NIC2 beantwortet werden können (anhand der Absender mac).
Welche Routen sollte ich NIC2 denn geben? Es könnten ja beliebige Subnetze auf beide NICs zugreifen müssen.

 

[wenzilinho]

NIC2 braucht sein Gateway 10.1.29.1 . Ohne Gateway kann es nicht auf Pings aus anderen VLANs antworten sondern bleibt auf das eigene Netz beschränkt.

 

[underclocker2k4]

Das wird auch nichts bringen, da es nur ein einziges Defaultgate gibt.

Für den Rechner ist im Standard externe Netz auf beiden Interfaces gleich"weit" entfernt.
Daher wird der Rechner, wenn ich schätzen würde, die Antwort auf der NIC1 wieder rausschieben.
Klassisches assymmetrisches Routing.

Wer noch Netze ohne OSPF und Co betrieben hat, kann davon ein Lied singen.

Daher musst du 1. ein Gateway einrichten und dann dem Windows Stack klarmachen, über welchen Weg er werlches Netz erreichen soll, sonst nimmt er immer das Default Gateway, sagt ja schon der Name.
Ob man da jetzt policy based Routing unter Windows geht, keine Ahnung. Aber das brauchst du um sagen zu können, dass die Antwort auch auf dem Interface wieder rausgeht, wie es reingekommen ist.